IoT: Angriffe auf das Internet der Dinge

Wenn man die seit längerem andauernde euphorische Berichterstattung nach dem digitalen Wandel verfolgt, so begegnet uns damit zwangsläufige auch die avisierte Vernetzung von gewohnten Gegenständen. Das sogenannte Internet of Things.

Gemeint sind damit Dinge des täglichen Gebrauchs: Autos, Steckdosen, Thermostate im Heizungsbereich, Küchengeräte, Waschmaschinen und vieles mehr.

Die Benutzer sollen es bei der Einrichtung und Benutzung (gerade von unterwegs) so einfach wie möglich haben. Jederzeit Zugriff auf das eigene Zuhause Smart Home und die Versorgung mit Informationen. Das dies mitunter zulasten der Sicherheit geht, haben Vorfälle in der Vergangenheit bereits gezeigt.

So konnten Angreifer beispielsweise Zugriff auf die Hausautomatisierung bzw. die Steuerung der Zentralheizung erlangen.

Doch der technologische Fortschritt macht nicht vor Haushaltsgeräten halt, vielmehr geht die Technik weiter und soll zukünftig verstärkt in medizinischen Apparaturen wie Herzrhythmus-Sensoren verbaut werden. Der Vorteil liegt klär auf der Hand: Einfacheres Auslesen und Justieren für den Arzt und somit kürzere Behandlungszeiten und günstigere Kosten – verglichen mit aufwändigen Eingriffen.

Eigentlich sollte man meinen, dass insbesondere diese lebenswichtige Elektronik besonders gegen Angriffe geschützt sei. Wie nun bei heise Security zu lesen war, ist es einem Forscherteam aus Südkorea jedoch gelungen, diesen Sensor bei einem Herzschrittmacher mit simplen Laserstrahlen zu täuschen. Es wurden somit Herzschläge registriert, obwohl das Gerät nicht mit einem Menschen in Verbindung stand.

Infusionspumpe-Infrarot-Sensor

Einen weiteren Versuch hat man mit einer Infusionspumpe unternommen, bei welcher der Sensor mit Infrarotstrahlen manipuliert werden konnte. Das Gerät hat keinen Durchfluss mehr erkennen können und wertete die Tropffrequenz somit gegen Null aus. Die Folge war ein Erhöhen auf das Maximum, was für einen Patienten tödlich ausgehen könnte.

Die potenziellen Angriffsszenarien stellte der südkoreanische Forscher Yongdae Kim laut heise Security am Montag bei einem Vortrag auf der Konferenz Usenix Enigma vor. Er unterteilte die Angriffsflächen in drei Klassen:

  1. Beeinflussung der vom Sensor zu erkennenden Signalart
  2. Flutung des Sensors mit Signalen, für welche er nicht geschaffen wurde
  3. Angriff auf die Verbindung zwischen Sensor und Embedded System

Übrigens konnte er durch Beschallung des Sensors einer Drohne diese ebenfalls Absturz bringen. Verglichen mit den obigen Szenarien aber womöglich noch die harmloseste Variante.

Das ganze zeigt, dass Hersteller von IoT-Devices vor lauter Euphorie nicht die Sicherheitsaspekte – also u.a. die Verschlüsselung der Datenübertragung zur IoT-Cloud oder Sensor-Security – außer Acht lassen dürfen und auch Verbraucher immer kritisch hinterfragen sollten, wie es um die Sicherheit der eingesetzten/einzusetzenden Geräte im „Internet of Things“ bestellt ist.

Samsung macht Trucks quasi durchsichtig

Einen interessanten Ansatz im Sinne der Verkehrssicherheit hat Samsung verfolgt. Jeder kennt das Problem beim Überholen von riesigen und langen LKW, welches insbesondere in Kurvennähe ein nicht unerhebliches Gefahrenpotenzial mit sich bringt.

Hier möchte der südkoreanische Elektronik-Hersteller Abhilfe schaffen und hat eine Lösung vorgestellt, die ebenso simpel wie effektiv sein könnte.

Über eine kabellose Frontkamera werden die Geschehnisse vor dem Truck auf vier Flatscreens übertragen, welche an der Rückseite der Ladefläche befestigt sind.

samsung-safety-truck

Damit soll den hinter dem LKW fahrenden Autos das Überholmanöver erleichtert und das Risiko von plötzlich auftauchendem Gegenverkehr stark reduziert werden.

Noch handelt es sich um einen Prototypen. Ob und wann das Ganze in Serie gehen wird hängt unter anderem von regulatorischen Auflagen ab.

WhatsApp-Alternative? Threema!

threemaWer auf der Suche nach einer sicheren Alternative ist, dem sei die Schweizer Erfindung Threema wärmstens empfohlen. Die App, welche es sowohl für das iPhone als auch Android-Smartphone gibt, wartet lautet Beschreibung mit den folgenden Funktionen auf:

  • Ende-zu-Ende-Verschlüsselung von Textnachrichten, Bildern, Videos und GPS-Standorten
  • Kontaktsynchronisation (optional): andere Threema-Benutzer automatisch finden
  • Eigenen Standort auf einer Karte teilen
  • Öffentliche Schlüssel der Kontakte ganz einfach durch Scannen eines QR-Codes innerhalb der App überprüfen
  • Netzwerk-Verbindungsstatus auf einen Blick: die Farbe des Bandes unterhalb der Navigationsleiste zeigt an, ob die App gerade mit dem Server verbunden ist

Durch die Ende-zu-Ende-Verschlüsselung hat bei Threema selbst der Serverbetreiber keine Möglichkeit, die Nachrichten mitzulesen. Die Server sind übrigens in der Schweiz beheimatet und nicht wie bei WhatsApp in den USA.

Google-Alternative: DuckDuckGo

Seit dem Bekanntwerden der Überwachungs-Programme von verschiedenen Geheimdiensten wie CIA, NSA etc. durch den Whistleblower Edward Joseph Snowden, machen sich immer mehr Benutzer Gedanken um Ihre Privatsphäre im Netz. Während Cloud-Anbieter sinkende Nutzer- und damit Umsatzzahlen befürchten, sorgen die Begrifflichkeiten PRISM, Tempora, und Co. für einen Besucherzuwachs bei Datenschutz-orientierten Diensten.

GoogleLogo

Es ist bekannt, dass zum Beispiel der Primus unter den Suchmaschinen u.a. den Suchverlauf speichert, Cookies setzt, Geräte-übergreifende Verknüpfungen anlegt und vieles mehr. Was auf den ersten Blick nach einem Komfort für die Benutzer aussieht, birgt auf der anderen Seite die Gefahr, dass sog. Bewegungsprofile erstellt werden können. Sowohl hinsichtlich der Interessen im Netz, als auch im Real Life durch die Ortungsfunktionen bei Smartphones.

DuckDuckGo

Genau hier möchte die Google-Alternative DuckDuckGo ansetzen. Nach eigenen Aussagen speichert diese weder die IP-Adressen ihrer User, noch legt sie Cookies auf deren Geräten ab. Zwar gibt auch DuckDuckGo auf Anfrage von Behörden bestimmte Daten heraus, da jedoch keine Benutzer- oder Geräteinformationen gespeichert werden, beschränkt sich die Preisgabe von Informationen auf ein Minimum.

WebDAV einrichten

WebDAV stellt eine Erweiterung des HTTP-Protokolls dar und kann nicht nur für einzelne Dateien, sondern auch zum Up- und Download von ganzen Ordnerstrukturen verwendet werden. Wenn ihr einen solchen WebDAV-Zugang habt, bietet dieser interessante Möglichkeiten um Dateien auf einen Server hochzuladen. Ein wesentlicher Vorteil ist die Tatsache, dass der gesamte Netzwerkverkehr bei WebDAV im Vergleich zu FTP (Port 21) über Port 80 und ggf. 443 (SSL) abgewickelt wird. Das sind die gleichen Ports, über welche ein Webserver standardmäßig angesprochen wird. Somit müssen an der Firewall keine zusätzlichen Portfreigaben eingerichtet werden und man kann es von (fast) überall nutzen. Die heutigen Desktop-Betriebssysteme und sogar Smartphones beherrschen WebDAV mittlerweile von Hause aus. In der Regel ist keine zusätzliche Software oder Konfiguration erforderlich.

Am Beispiel von Windows zeige ich euch, welche Schritte ihr durchführen müsst. Im Windows Explorer wählt ihr die Option „Netzlaufwerk verbinden„. Es öffnet sich daraufhin ein Dialogfenster. In diesem erfasst ihr folgende Daten:

  • Laufwerk: Beliebiger Laufwerksbuchstabe
  • Ordner: Die Adresse der Freigabe. Sie setzt sich zusammen aus dem
    • Protokoll (http:// oder https://)
    • Servernamen
    • Freigabenamen
      Beispiel: https://webdav.example.com/Freigabename
  • Häkchen bei „Verbindung bei Anmeldung wiederherstellen“ (optional)
  • Häkchen bei „Verbindung mit anderen Anmeldeinformationen herstellen“

Empfohlen wird natürlich SSL-Verschlüsselung (https). Dieses Feature ist aber von eurem Anbieter abhängig. Wenn es dort nicht angeboten wird, sollte man vorsichtig sein, da die Login-Daten usw. im Klartext übertragen werden (Vorsicht in öffentlichen WiFi-Netzwerken). Nach einem Klick auf „Fertig stellen“ öffnet sich ein weiteres Fenster wo Benutzername und Kennwort abgefragt werden. Auf Wunsch könnt ihr die Anmeldedaten auch speichern. Das erspart die erneute Eingabe nach einem Neustart. Wenn alles korrekt erfasst wurde, bestätigt die Abfrage mit „OK“ und kurz darauf sollte ein weiteres Laufwerk im Explorer erscheinen. Wenn das nicht der Fall ist, gibt es zwei der häufigsten Problemursachen:

  1. Der Anbieter unterstützt kein SSL. In diesem Fall könnte man von https auf http switchen.
    Dies ist aber sehr unschön und zieht üblicherweise ein weiteres Problem nach sich.
  2. Ein Eintrag in der Windows-Registrierung verhindert im Regelfall die Verbindung mit unverschlüsselten Freigaben, also über http.

Wenn man nun auf Biegen und Brechen die Verbindung mittels unsicherer Standardauthentifizierung herstellen möchte, muss folgender Eingriff in der Registry vorgenommen werden. Macht dies nur, wenn ihr mit dieser Materie vertraut seit. Leider kann man dort auch viel falsch machen. Ruft den Registrierungs-Editor über „Start / Ausführen / regedit“ auf. Hangelt euch dann bis zu folgender Position durch:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ WebClient \ Parameters

Dort solltet ihr einen Eintrag namens „BasicAuthLevel“ vorfinden. Ist dieser wider erwarten nicht zu sehen, überprüft zunächst ob ihr dem obigen Pfad korrekt gefolgt seid. Wenn dieser stimmt legt einen neuen DWORD-Wert (32-bit) an. Der vorhandene bzw. neue Eintrag wird auf den Wert 2 festgesetzt. Das bedeutet, dass die Authentifizierung kein SSL erfordert. Solltet ihr euch irgendwann mal umentscheiden, ändert diesen Value einfach auf 1. Wenn das soweit erledigt ist, sollte der Verbindungsaufbau nach einem Neustart funktionieren.

Wo wir aber gerade in der Registry sind, kann man bei Bedarf noch eine weitere kleine Änderung vornehmen. Standardmäßig ist die Dateigröße bei dieser Methode auf knapp 50 MB begrenzt. Das erkennt man an gleicher Stelle am Eintrag „FileSizeLimitInBytes„. Dort ist als Dezimal-Wert 50000000 vorbelegt sein. Diesen Wert könnt ihr natürlich erhöhen. Für bis zu ein Gigabyte große Dateien ersetzt diesen z.B. durch 1073741824 Bytes (1024^3). Man sollte jedoch wissen, dass ein Transfer einer Datei solchen Ausmaßes einige Zeit in Anspruch nimmt und Windows keine aussagekräftigen Geschwindigkeits- und Restzeitangaben liefert. Einen sehr guten Freeware-Client stellt in diesem Zusammenhang BitKinex dar. Dieser liefert präzise Messergebnisse und es können auch etwaige Verbindungsprobleme näher untersucht werden.